보안모델과 위험관리 기초

이번 절은 정보보안일반 파트의 마무리입니다.

지금까지 정보보안일반에서는 다음을 공부했습니다.

5장 1절: 암호학 기초
5장 2절: 대칭키·공개키 암호
5장 3절: 해시·전자서명·PKI
5장 4절: 접근통제와 인증
5장 5절: 보안모델과 위험관리 기초

이번 절에서는 두 가지를 연결해서 봅니다.

보안모델 = 보안 원칙을 이론적으로 설명하는 모델
위험관리 = 실제 조직에서 위험을 식별·분석·처리하는 과정

필기에서는 비교 문제가 자주 나오고, 실기에서는 다음 형태로 출제될 수 있습니다.

Bell-LaPadula 모델과 Biba 모델의 차이를 설명하시오.
Clark-Wilson 모델의 특징을 설명하시오.
위협, 취약점, 위험의 차이를 설명하시오.
정성적 위험분석과 정량적 위험분석의 차이를 설명하시오.
위험 처리 방법 4가지를 설명하시오.

학습 목표

이번 절가 끝나면 다음 질문에 답할 수 있어야 합니다.

질문	목표
보안모델이란 무엇인가?	보안 정책과 원칙을 체계적으로 설명하는 모델이라고 설명
Bell-LaPadula 모델은 무엇인가?	기밀성 중심 모델이라고 설명
Biba 모델은 무엇인가?	무결성 중심 모델이라고 설명
Clark-Wilson 모델은 무엇인가?	무결성과 직무분리를 강조하는 상업적 모델이라고 설명
Chinese Wall 모델은 무엇인가?	이해상충 방지를 위한 접근통제 모델이라고 설명
자산이란 무엇인가?	보호해야 할 가치 있는 대상이라고 설명
위협이란 무엇인가?	자산에 피해를 줄 수 있는 원인이라고 설명
취약점이란 무엇인가?	위협에 악용될 수 있는 약점이라고 설명
위험이란 무엇인가?	위협이 취약점을 이용해 피해가 발생할 가능성이라고 설명
정성적 분석이란?	위험을 등급이나 수준으로 평가한다고 설명
정량적 분석이란?	금액, 빈도, 손실액 등 수치로 평가한다고 설명
위험 처리 방법은?	감소, 회피, 전가, 수용을 설명
잔여위험이란?	보호대책 적용 후에도 남는 위험이라고 설명

학습 내용의 큰 그림

핵심은 다음과 같다.

보안모델은 보안의 원칙을 설명한다.
위험관리는 실제 조직의 위험을 줄이는 절차이다.

둘을 연결하면 다음과 같습니다.

보안모델은 “무엇을 지켜야 하는가?”를 이론적으로 설명하고,
위험관리는 “어떤 위험이 있고 어떻게 처리할 것인가?”를 실무적으로 다룬다.

주요 키워드는 다음과 같다.

Bell-LaPadula
Biba
Clark-Wilson
Chinese Wall
자산
위협
취약점
위험
위험분석
정성적 분석
정량적 분석
위험 감소
위험 회피
위험 전가
위험 수용
잔여위험

보안모델이란?

보안모델은 보안 정책과 보안 원칙을 체계적으로 설명하기 위한 이론적 모델입니다.

시험식 정의는 다음입니다.

보안모델은 정보시스템에서 기밀성, 무결성, 접근통제 등 보안 목표를 달성하기 위해 주체와 객체 간 접근 규칙을 체계적으로 정의한 모델이다.

핵심 의미는 다음과 같다.

보안모델 = 누가 어떤 정보에 접근할 수 있는지 이론적으로 정리한 보안 규칙

보안모델은 주로 다음을 설명합니다.

항목	설명
주체	사용자, 프로세스 등 접근을 시도하는 존재
객체	파일, DB, 문서 등 보호 대상
보안등급	기밀, 대외비, 일반 등
접근규칙	읽기, 쓰기, 실행 등 허용 여부
보안목표	기밀성, 무결성 등

보안모델은 크게 다음 목표와 연결됩니다.

보안모델	중심 목표
Bell-LaPadula	기밀성
Biba	무결성
Clark-Wilson	상업적 무결성, 직무분리
Chinese Wall	이해상충 방지

Bell-LaPadula 모델

Bell-LaPadula 모델이란?

Bell-LaPadula 모델은 기밀성을 보호하기 위한 보안모델입니다.

시험식 정의는 다음입니다.

Bell-LaPadula 모델은 군사 보안 환경에서 기밀성을 보호하기 위해 주체와 객체의 보안등급에 따라 읽기와 쓰기 권한을 통제하는 모델이다.

핵심 의미는 다음과 같다.

Bell-LaPadula = 기밀성 모델

이 모델의 핵심은 높은 등급의 정보가 낮은 등급으로 새어 나가지 않도록 막는 것입니다.

예를 들어 보안등급이 다음과 같다고 합시다.

1급 비밀 > 2급 비밀 > 대외비 > 일반

낮은 등급 사용자가 높은 등급 문서를 읽으면 기밀성이 깨집니다.

따라서 Bell-LaPadula는 기밀정보 유출 방지에 초점을 둡니다.

Bell-LaPadula의 핵심 규칙

Bell-LaPadula 모델의 핵심 규칙은 두 가지입니다.

No Read Up
No Write Down

규칙	의미
No Read Up	낮은 등급 주체가 높은 등급 객체를 읽을 수 없음
No Write Down	높은 등급 주체가 낮은 등급 객체에 쓸 수 없음

No Write Down

높은 등급 사용자가 낮은 등급 문서에 내용을 쓰면 안 됩니다.

1급 비밀 사용자가 일반 등급 문서에 비밀 정보를 기록할 수 없음

왜 막을까요?

높은 등급 정보가 낮은 등급으로 흘러 내려가면 기밀성이 깨지기 때문입니다.

시험식 문장

Bell-LaPadula 모델은 기밀성 보호를 위해 낮은 등급의 주체가 높은 등급 객체를 읽지 못하게 하는 No Read Up과, 높은 등급의 주체가 낮은 등급 객체에 쓰지 못하게 하는 No Write Down 규칙을 사용한다.

Bell-LaPadula 암기법

Bell-LaPadula = 기밀성
기밀성 = 높은 정보가 낮은 곳으로 새면 안 됨
No Read Up = 위를 읽지 마라
No Write Down = 아래로 쓰지 마라

정리하면 다음입니다.

항목	Bell-LaPadula
중심 목표	기밀성
대표 환경	군사, 정부, 보안등급 환경
핵심 규칙	No Read Up, No Write Down
방지 목적	기밀정보 유출 방지
약점	무결성 보호는 상대적으로 약함

Biba 모델

Biba 모델이란?

Biba 모델은 무결성을 보호하기 위한 보안모델입니다.

시험식 정의는 다음입니다.

Biba 모델은 데이터의 무결성을 보호하기 위해 낮은 무결성 수준의 정보가 높은 무결성 수준의 객체나 주체에 영향을 주지 못하도록 통제하는 모델이다.

핵심 의미는 다음과 같다.

Biba = 무결성 모델

Bell-LaPadula가 기밀정보 유출을 막는 모델이라면, Biba는 오염된 정보가 중요한 데이터에 영향을 주는 것을 막는 모델입니다.

Biba의 핵심 규칙

Biba 모델의 핵심 규칙은 다음입니다.

No Read Down
No Write Up

규칙	의미
No Read Down	높은 무결성 주체가 낮은 무결성 객체를 읽을 수 없음
No Write Up	낮은 무결성 주체가 높은 무결성 객체에 쓸 수 없음

No Read Down

높은 무결성 수준의 사용자가 낮은 무결성 데이터를 읽으면 오염될 수 있습니다.

검증된 회계 시스템이 검증되지 않은 외부 데이터를 그대로 읽으면 위험

No Write Up

낮은 무결성 사용자가 높은 무결성 데이터에 쓰면 데이터가 오염됩니다.

일반 사용자가 회계 원장에 직접 쓰기 불가

시험식 문장

Biba 모델은 무결성 보호를 위해 높은 무결성 주체가 낮은 무결성 객체를 읽지 못하게 하는 No Read Down과, 낮은 무결성 주체가 높은 무결성 객체에 쓰지 못하게 하는 No Write Up 규칙을 사용한다.

Biba 암기법

Biba = 무결성
무결성 = 낮은 품질 정보가 높은 품질 데이터를 오염시키면 안 됨
No Read Down = 아래를 읽지 마라
No Write Up = 위로 쓰지 마라

정리하면 다음입니다.

항목	Biba
중심 목표	무결성
대표 환경	회계, 금융, 데이터 정확성 중요 시스템
핵심 규칙	No Read Down, No Write Up
방지 목적	데이터 오염, 위변조 방지
약점	기밀성 보호는 상대적으로 약함

Bell-LaPadula와 Biba 비교

필기에서 매우 자주 나오는 비교입니다.

구분	Bell-LaPadula	Biba
중심 목표	기밀성	무결성
주요 관심	정보 유출 방지	데이터 오염 방지
읽기 규칙	No Read Up	No Read Down
쓰기 규칙	No Write Down	No Write Up
대표 환경	군사 보안	상업·회계 시스템
핵심 암기	위를 읽지 말고 아래로 쓰지 마라	아래를 읽지 말고 위로 쓰지 마라

실기형 답안

Bell-LaPadula 모델은 기밀성 보호를 목적으로 하며, 낮은 등급 주체가 높은 등급 객체를 읽지 못하게 하는 No Read Up과 높은 등급 주체가 낮은 등급 객체에 쓰지 못하게 하는 No Write Down 규칙을 사용한다. Biba 모델은 무결성 보호를 목적으로 하며, 높은 무결성 주체가 낮은 무결성 객체를 읽지 못하게 하는 No Read Down과 낮은 무결성 주체가 높은 무결성 객체에 쓰지 못하게 하는 No Write Up 규칙을 사용한다.

Clark-Wilson 모델

Clark-Wilson의 핵심 개념

Clark-Wilson 모델은 다음 개념을 강조합니다.

개념	의미
잘 형성된 트랜잭션	정해진 절차를 통해서만 데이터 변경
직무분리	한 사람이 모든 업무를 수행하지 못하게 함
감사	데이터 변경 이력 기록과 검토
무결성 검증	데이터가 올바른 상태인지 확인
승인된 프로그램	허가된 절차를 통해서만 중요 데이터 수정

예를 들어 회계 시스템을 생각해봅시다.

나쁜 방식

사용자가 DB의 회계 금액을 직접 수정

좋은 방식

사용자는 승인된 회계 프로그램을 통해서만 거래 입력
거래는 정해진 절차를 거침
승인자와 입력자가 분리됨
모든 변경 이력이 로그로 기록됨

Clark-Wilson의 핵심 특징

항목	설명
중심 목표	무결성
대표 환경	상업, 금융, 회계 시스템
핵심 원칙	잘 형성된 트랜잭션
내부통제	직무분리
감사성	로그와 변경 이력
특징	사용자가 데이터를 직접 변경하지 않고 승인된 절차로 변경

시험식 답안

Clark-Wilson 모델은 상업적 시스템의 무결성을 보장하기 위한 모델로, 사용자가 데이터를 직접 수정하지 않고 승인된 프로그램과 잘 형성된 트랜잭션을 통해서만 데이터를 변경하도록 한다. 또한 직무분리와 감사 기능을 통해 부정행위와 오류를 방지한다.

Chinese Wall 모델

Chinese Wall 모델이란?

Chinese Wall 모델은 이해상충을 방지하기 위한 접근통제 모델입니다.

Brewer-Nash 모델이라고도 부릅니다.

시험식 정의는 다음입니다.

Chinese Wall 모델은 사용자의 과거 접근 이력에 따라 이해상충이 발생할 수 있는 정보에 대한 접근을 제한하는 접근통제 모델이다.

핵심 의미는 다음과 같다.

Chinese Wall = 이해상충 방지 모델

Chinese Wall 예시

컨설팅 회사나 회계법인을 생각해봅시다.

한 컨설턴트가 A 회사의 민감한 정보를 봤습니다.

A은행 정보 접근

그러면 경쟁사인 B은행의 민감정보에는 접근하지 못하게 해야 합니다.

A은행 정보를 본 사람은 B은행 정보 접근 제한

왜냐하면 두 회사의 정보를 모두 알면 이해상충이나 정보 유출 위험이 생기기 때문입니다.

Chinese Wall의 특징

항목	설명
중심 목표	이해상충 방지
기준	사용자의 과거 접근 이력
대표 환경	컨설팅, 금융, 회계, 법률
특징	처음에는 접근 가능하지만, 특정 정보 접근 후 경쟁 정보 접근 제한
목적	경쟁사 간 민감정보 유출 방지

시험식 답안

Chinese Wall 모델은 사용자의 과거 접근 이력을 기준으로 이해상충이 발생할 수 있는 정보에 대한 접근을 제한하는 모델이다. 예를 들어 한 사용자가 특정 기업의 민감정보에 접근한 후에는 경쟁 기업의 민감정보에 접근하지 못하도록 하여 이해상충과 정보 유출을 방지한다.

보안모델 종합 비교

모델	중심 목표	핵심 규칙·특징	대표 환경
Bell-LaPadula	기밀성	No Read Up, No Write Down	군사, 정부
Biba	무결성	No Read Down, No Write Up	회계, 데이터 정확성
Clark-Wilson	상업적 무결성	잘 형성된 트랜잭션, 직무분리, 감사	금융, 회계, 상거래
Chinese Wall	이해상충 방지	과거 접근 이력 기반 제한	컨설팅, 금융, 법률

암기 문장

Bell-LaPadula = 기밀성
Biba = 무결성
Clark-Wilson = 상업적 무결성, 직무분리
Chinese Wall = 이해상충 방지

위험관리로 전환

이제 보안모델에서 위험관리로 넘어갑니다.

보안모델이 이론적 규칙이라면, 위험관리는 실제 조직에서 다음 질문에 답하는 과정입니다.

무엇을 보호할 것인가?
어떤 위협이 있는가?
어떤 취약점이 있는가?
피해 가능성과 영향은 어느 정도인가?
어떤 대책을 적용할 것인가?
대책 적용 후에도 남는 위험은 수용 가능한가?

위험관리는 정보보안관리 및 법규 과목에서도 계속 이어집니다.
이번 절에서는 기초 개념을 먼저 잡습니다.

위험관리란?

시험식 정의는 다음입니다.

위험관리는 조직의 자산에 대한 위협과 취약점을 식별하고, 위험을 분석·평가하여 적절한 보호대책을 수립·적용하고 잔여위험을 관리하는 과정이다.

핵심 의미는 다음과 같다.

위험관리 = 무엇이 위험한지 파악하고 줄이는 과정

위험관리의 기본 흐름은 다음입니다.

자산 식별
→ 위협 식별
→ 취약점 식별
→ 위험 분석
→ 위험 평가
→ 위험 처리
→ 잔여위험 관리
→ 모니터링과 재평가

자산

자산이란?

자산은 조직이 보호해야 할 가치 있는 대상입니다.

시험식 정의는 다음입니다.

자산은 조직에 가치가 있어 보호가 필요한 정보, 시스템, 서비스, 인력, 시설, 소프트웨어, 데이터 등을 의미한다.

예시는 다음과 같습니다.

자산 유형	예시
정보 자산	개인정보, 영업비밀, 설계도, 소스코드
시스템 자산	서버, DB, 네트워크 장비
소프트웨어 자산	웹 애플리케이션, 업무 시스템
서비스 자산	결제 서비스, 고객센터, 그룹웨어
인적 자산	임직원, 관리자, 개발자
물리 자산	서버실, 사무실, 백업 매체
평판 자산	회사 신뢰도, 브랜드 가치

자산은 위험관리의 출발점입니다.

보호할 자산을 모르면 위험도 평가할 수 없다.

위협

위협이란?

위협은 자산에 피해를 줄 수 있는 원인이나 사건입니다.

시험식 정의

위협은 자산에 손상, 유출, 변조, 중단 등 피해를 발생시킬 수 있는 잠재적 원인이나 사건이다.

핵심 의미는 다음과 같다.

위협 = 피해를 줄 수 있는 원인

위협 예시는 다음입니다.

위협 유형	예시
인적 위협	해커, 내부자, 실수, 사회공학
기술적 위협	악성코드, DDoS, 취약점 공격
환경적 위협	화재, 홍수, 지진, 정전
운영 위협	설정 오류, 백업 실패, 패치 누락
물리적 위협	장비 도난, 서버실 침입
공급망 위협	외주업체 침해, 소프트웨어 공급망 공격

취약점

취약점이란?

취약점은 위협에 악용될 수 있는 약점입니다.

시험식 정의

취약점은 위협이 자산에 피해를 주기 위해 악용할 수 있는 기술적, 관리적, 물리적 약점이다.

핵심 의미는 다음과 같다.

취약점 = 공격당할 수 있는 약점

예시는 다음과 같습니다.

취약점 유형	예시
기술적 취약점	SQL Injection, 미패치 서버, 약한 암호
관리적 취약점	보안정책 부재, 권한 점검 미흡
물리적 취약점	서버실 출입통제 미흡
인적 취약점	보안 교육 부족, 피싱 대응 미흡
운영 취약점	기본 비밀번호, 로그 미점검, 백업 미흡

위험

위험이란?

위험은 위협이 취약점을 이용해 자산에 피해를 줄 가능성과 그 영향입니다.

시험식 정의

위험은 위협이 취약점을 악용하여 자산에 손실이나 피해를 발생시킬 가능성과 그 영향을 의미한다.

핵심 의미는 다음과 같다.

위험 = 피해가 발생할 가능성

위협, 취약점, 위험을 연결하면 다음입니다.

해커가           → 위협
미패치 서버를    → 취약점
공격해 개인정보가 유출될 가능성 → 위험

다른 예시입니다.

자산	위협	취약점	위험
웹 서버	해커	SQL Injection 취약점	DB 정보 유출 가능성
고객 DB	내부자	과도한 권한	개인정보 무단 조회 가능성
업무 서버	랜섬웨어	백업 미흡	복구 불가와 업무 중단 가능성
결제 서비스	DDoS	방어체계 미흡	서비스 중단 가능성
서버실	화재	소화설비 미흡	장비 손상과 서비스 중단 가능성

위협, 취약점, 위험 비교

이 세 가지는 시험에서 자주 나옵니다.

구분	의미	예시
자산	보호해야 할 대상	개인정보 DB
위협	피해를 줄 수 있는 원인	해커, 악성코드, 화재
취약점	공격당할 수 있는 약점	미패치, 약한 비밀번호
위험	피해 발생 가능성과 영향	해커가 미패치 서버를 공격해 DB 유출 가능성
보호대책	위험을 줄이는 조치	패치, 방화벽, 접근통제
잔여위험	대책 후에도 남는 위험	패치 후에도 남는 제로데이 위험

암기 문장

자산 = 지켜야 할 것
위협 = 피해 원인
취약점 = 약점
위험 = 피해 가능성
보호대책 = 위험을 줄이는 조치
잔여위험 = 대책 후에도 남는 위험

위험관리 절차

위험관리 절차는 다음 순서로 이해하면 됩니다.

1. 자산 식별
2. 자산 가치 평가
3. 위협 식별
4. 취약점 식별
5. 기존 보호대책 확인
6. 위험 분석
7. 위험 평가
8. 위험 처리
9. 잔여위험 승인
10. 지속적 모니터링

각 단계의 의미는 다음입니다.

단계	설명
자산 식별	보호해야 할 정보와 시스템 파악
자산 가치 평가	중요도, 영향도 평가
위협 식별	해커, 악성코드, 장애 등 확인
취약점 식별	기술적·관리적 약점 파악
기존 대책 확인	이미 적용된 통제 확인
위험 분석	가능성과 영향을 분석
위험 평가	허용 가능한 수준인지 판단
위험 처리	감소, 회피, 전가, 수용 결정
잔여위험 승인	남은 위험을 경영진이 수용할지 결정
모니터링	환경 변화에 따라 재평가

시험식 답안

위험관리는 자산을 식별하고 자산 가치를 평가한 뒤, 해당 자산에 대한 위협과 취약점을 식별하여 위험을 분석·평가하는 과정이다. 이후 위험 감소, 회피, 전가, 수용 중 적절한 처리 방법을 선택하고, 보호대책 적용 후 남는 잔여위험을 관리하며 지속적으로 모니터링해야 한다.

위험분석

위험분석은 위험의 크기를 파악하는 과정입니다.

위험은 보통 다음 두 가지 요소로 평가합니다.

가능성
영향도

요소	의미
가능성	위험이 실제로 발생할 확률 또는 빈도
영향도	발생했을 때 조직에 미치는 피해 규모

간단히 표현하면 다음입니다.

위험 = 가능성 × 영향도

예를 들어 다음 두 위험을 비교해봅시다.

위험	가능성	영향도	결과
직원의 피싱 메일 클릭	높음	중간	우선 관리 필요
대형 지진으로 데이터센터 파괴	낮음	매우 높음	재해복구 계획 필요
테스트 서버 정보 노출	중간	낮음	설정 개선 필요
고객 DB 유출	중간	매우 높음	최우선 관리 필요

정성적 위험분석

가능성	영향도	위험 등급
높음	높음	매우 높음
높음	중간	높음
중간	중간	중간
낮음	낮음	낮음

정성적 분석의 장점과 단점

구분	내용
장점	수행이 쉽고 빠름
장점	정량 데이터가 부족해도 가능
장점	우선순위 결정에 유용
단점	주관성이 개입될 수 있음
단점	정확한 금전 손실 계산은 어려움
단점	평가자 경험에 따라 결과 차이 가능

시험식 답안

정성적 위험분석은 위험의 가능성과 영향을 높음, 중간, 낮음 등 등급으로 평가하는 방식이다. 수행이 쉽고 빠르며 정량 데이터가 부족해도 가능하지만, 평가자의 주관이 개입될 수 있고 정확한 금전적 손실 산정은 어렵다.

정량적 위험분석

정량적 분석이란?

정량적 위험분석은 위험을 금액, 확률, 발생빈도 같은 수치로 분석하는 방식입니다.

시험식 정의

정량적 위험분석은 자산 가치, 손실률, 발생빈도 등을 수치화하여 예상 손실액을 계산하는 분석 방법이다.

정량적 분석에서 자주 나오는 용어는 다음입니다.

AV
EF
SLE
ARO
ALE

정량적 분석 예제

정량적 분석 예제는 다음과 같다.

자산 가치 AV = 2억 원
사고 발생 시 손실률 EF = 40%
연간 발생률 ARO = 0.5

계산

SLE = AV × EF
SLE = 200,000,000 × 0.4
SLE = 80,000,000원

ALE = SLE × ARO
ALE = 80,000,000 × 0.5
ALE = 40,000,000원

해석

사고 1회 발생 시 8천만 원 손실 예상
연간 손실 예상액은 4천만 원

이 경우 보안대책 비용이 연간 1천만 원이고 ALE를 크게 줄일 수 있다면 경제적으로 타당할 수 있습니다.

정성적 분석과 정량적 분석 비교

구분	정성적 분석	정량적 분석
평가 방식	등급, 수준, 점수	금액, 확률, 빈도
예시	높음·중간·낮음	ALE, SLE 계산
장점	쉽고 빠름	경제적 판단 가능
단점	주관적일 수 있음	데이터 수집 어려움
적합 상황	초기 평가, 우선순위 선정	비용·효과 분석, 투자 판단

실기형 답안

정성적 위험분석은 위험의 가능성과 영향을 높음, 중간, 낮음 등 등급으로 평가하는 방식으로 수행이 쉽지만 주관성이 개입될 수 있다. 정량적 위험분석은 자산 가치, 손실률, 발생빈도 등을 수치화하여 SLE와 ALE 같은 예상 손실액을 계산하는 방식으로 경제적 판단에 유용하지만 정확한 데이터 수집이 어렵다.

위험 등급	처리 방침
매우 높음	즉시 대책 수립
높음	우선 처리
중간	계획에 따라 처리
낮음	모니터링 또는 수용

위험 감소

위험 감소란?

위험 감소는 보호대책을 적용하여 위험의 가능성이나 영향을 줄이는 방법입니다.

시험식 정의

위험 감소는 보안대책을 적용하여 위험 발생 가능성이나 영향을 낮추는 처리 방법이다.

예시는 다음입니다.

위험	위험 감소 대책
SQL Injection	Prepared Statement 적용
계정 탈취	MFA 적용
랜섬웨어	백업, 패치, EDR 적용
DDoS	DDoS 방어 서비스, Rate Limiting
개인정보 유출	암호화, 접근통제, 로그 모니터링

핵심 의미

위험 감소 = 보안대책을 적용해 위험을 줄임

위험 회피

위험 회피란?

위험 회피는 위험을 유발하는 활동 자체를 중단하거나 제거하는 방법입니다.

시험식 정의

위험 회피는 위험이 발생할 수 있는 활동이나 서비스를 중단하여 해당 위험을 제거하는 처리 방법이다.

예시는 다음입니다.

취약한 외부 공개 서비스를 폐쇄
보안성이 낮은 기능 출시 중단
위험한 사업 영역 철수
민감정보 수집 기능 제거

핵심 의미

위험 회피 = 위험한 일을 아예 하지 않음

위험 처리 방법 비교

처리 방법	의미	예시
위험 감소	보호대책으로 가능성·영향 감소	패치, 암호화, MFA
위험 회피	위험한 활동 중단	취약 서비스 폐쇄
위험 전가	손실·책임 일부 이전	보험, 외주, 계약
위험 수용	위험을 알고 받아들임	낮은 위험 승인

실기형 답안

위험 처리 방법에는 위험 감소, 회피, 전가, 수용이 있다. 위험 감소는 보안대책을 적용해 가능성이나 영향을 줄이는 것이고, 위험 회피는 위험한 활동을 중단하는 것이며, 위험 전가는 보험이나 외주 계약 등을 통해 손실 부담을 이전하는 것이다. 위험 수용은 위험이 허용 수준 이내라고 판단하여 책임자의 승인 하에 받아들이는 방식이다.

잔여위험

잔여위험이란?

잔여위험은 보호대책을 적용한 후에도 남아 있는 위험입니다.

시험식 정의

잔여위험은 보호대책을 적용한 후에도 완전히 제거되지 않고 남아 있는 위험이다.

예를 들어 MFA를 적용해도 계정 탈취 위험이 완전히 사라지지는 않습니다.

피싱으로 OTP까지 탈취될 가능성
관리자 실수 가능성
신규 취약점 가능성

따라서 보호대책 후 남는 위험을 조직이 수용할 수 있는지 판단해야 합니다.

시험식 문장

보호대책을 적용해도 모든 위험을 제거할 수 없으므로 잔여위험을 평가하고, 조직의 위험 수용기준에 따라 경영진 또는 책임자의 승인을 받아 관리해야 한다.

보호대책의 종류

보호대책은 여러 기준으로 나눌 수 있습니다.

관리적, 기술적, 물리적 대책

구분	예시
관리적 대책	보안정책, 교육, 절차, 권한 승인
기술적 대책	방화벽, 암호화, 접근통제, 백신, 로그
물리적 대책	출입통제, CCTV, 잠금장치, 소화설비

예방, 탐지, 교정 대책

구분	의미	예시
예방 통제	사고를 사전에 방지	접근통제, 패치, 보안교육
탐지 통제	사고나 이상행위를 발견	IDS, 로그 모니터링, 감사
교정 통제	사고 후 복구와 개선	백업 복구, 패치, 재발 방지

시험식 답안

보호대책은 관리적, 기술적, 물리적 대책으로 구분할 수 있으며, 기능에 따라 예방, 탐지, 교정 통제로 나눌 수 있다. 예를 들어 보안정책과 교육은 관리적 대책, 암호화와 방화벽은 기술적 대책, 출입통제와 CCTV는 물리적 대책이다.

비용·효과 분석

위험관리는 무조건 모든 위험을 없애는 것이 아닙니다.

보안대책 비용이 기대 손실보다 지나치게 크다면 합리적이지 않을 수 있습니다.

예를 들어

연간 예상 손실 ALE = 100만 원
보안대책 비용 = 5,000만 원

이 경우 그 대책은 경제적으로 적절하지 않을 수 있습니다.

반대로

연간 예상 손실 ALE = 1억 원
보안대책 비용 = 1,000만 원

이 경우 대책 도입이 타당할 수 있습니다.

시험식 문장

위험관리에서는 보호대책의 비용이 기대 손실 감소 효과보다 과도하지 않은지 비용·효과를 고려해야 한다.

내용 연결 정리

온라인 쇼핑몰 사례에 위험관리를 적용하면 다음과 같다.

자산: 고객 개인정보 DB
위협: 해커, 내부자, 악성코드
취약점: SQL Injection, 과도한 DB 권한, 로그 미점검
위험: 개인정보 유출 가능성
보호대책: Prepared Statement, DB 권한 최소화, 암호화, 접근통제, WAF, 로그 모니터링
잔여위험: 제로데이 취약점, 내부자 오남용 가능성
위험 처리: 위험 감소 + 일부 잔여위험 수용

다른 예시입니다.

자산: 결제 서비스
위협: DDoS 공격
취약점: DDoS 방어체계 미흡
위험: 서비스 중단과 매출 손실
보호대책: DDoS 방어센터, CDN, Rate Limiting, 모니터링
위험 처리: 위험 감소 + 일부 전가

이런 식으로 시험 문제에서 상황이 나오면 다음 순서로 답하면 됩니다.

자산 식별
위협 식별
취약점 식별
위험 설명
보호대책 제시
잔여위험 관리

시험에 나오는 포인트

주제	시험 포인트
Bell-LaPadula	기밀성 모델
Bell-LaPadula 규칙	No Read Up, No Write Down
Biba	무결성 모델
Biba 규칙	No Read Down, No Write Up
Clark-Wilson	상업적 무결성, 직무분리, 감사
Chinese Wall	이해상충 방지, 과거 접근 이력
자산	보호해야 할 가치 있는 대상
위협	피해를 줄 수 있는 원인
취약점	위협에 악용될 수 있는 약점
위험	피해 발생 가능성과 영향
보호대책	위험을 줄이는 조치
잔여위험	대책 후에도 남는 위험
정성적 분석	높음·중간·낮음 등급 평가
정량적 분석	AV, EF, SLE, ARO, ALE 계산
SLE	AV × EF
ALE	SLE × ARO
위험 감소	보안대책으로 위험 감소
위험 회피	위험한 활동 중단
위험 전가	보험, 외주 등으로 부담 이전
위험 수용	위험을 알고 받아들임
보호대책 종류	관리적, 기술적, 물리적
통제 기능	예방, 탐지, 교정

필기형 문제풀이

문제 1

Bell-LaPadula 모델의 주요 보안 목표는?

A. 기밀성
B. 무결성
C. 가용성
D. 책임추적성

정답: A

Bell-LaPadula 모델은 기밀성을 보호하기 위한 모델입니다.

문제 2

Bell-LaPadula 모델의 규칙으로 올바른 것은?

A. No Read Down, No Write Up
B. No Read Up, No Write Down
C. Well-formed Transaction, Separation of Duties
D. 과거 접근 이력 기반 이해상충 제한

정답: B

Bell-LaPadula는 낮은 등급이 높은 정보를 읽지 못하고, 높은 등급이 낮은 곳에 쓰지 못하게 합니다.

정답 이유: Bell-LaPadula는 기밀성 모델이므로 정보가 낮은 등급으로 흘러 내려가는 것을 막기 위해 No Read Up, No Write Down을 적용한다. 오답 이유: A는 Biba의 무결성 규칙이고, C는 Clark-Wilson의 특징이다. Bell-LaPadula와 Biba는 보호 목표가 기밀성과 무결성으로 다르다.

문제 3

Biba 모델의 주요 보안 목표는?

A. 기밀성
B. 가용성
C. 무결성
D. 책임추적성

정답: C

Biba 모델은 데이터 무결성 보호가 목적입니다.

문제 4

Biba 모델의 규칙으로 올바른 것은?

A. No Read Up, No Write Down
B. 과거 접근 이력으로 경쟁사 정보 접근 제한
C. 승인된 트랜잭션과 감사 기능 사용
D. No Read Down, No Write Up

정답: D

Biba는 낮은 무결성 정보가 높은 무결성 객체를 오염시키지 못하게 합니다.

정답 이유: Biba는 무결성 보호 모델로, 높은 무결성 주체가 낮은 무결성 정보를 읽거나 높은 객체가 낮은 입력으로 오염되는 것을 제한한다. 오답 이유: A는 Bell-LaPadula의 기밀성 규칙이다. Biba는 No Read Down, No Write Up으로 외우면 Bell-LaPadula와 구분하기 쉽다.

문제 5

Clark-Wilson 모델의 특징으로 적절한 것은?

A. 잘 형성된 트랜잭션, 직무분리, 감사 기능을 강조한다
B. 군사 보안등급에 따른 기밀성 통제만 강조한다
C. 낮은 무결성 데이터의 읽기를 항상 허용한다
D. 사용자의 과거 접근 이력만 기준으로 접근을 제한한다

정답: A

Clark-Wilson 모델은 상업적 무결성 모델입니다.

문제 6

Chinese Wall 모델의 설명으로 적절한 것은?

A. 낮은 등급 주체의 높은 등급 읽기를 금지한다
B. 이해상충 방지를 위해 사용자의 과거 접근 이력에 따라 접근을 제한한다
C. 승인된 트랜잭션으로만 회계 데이터를 변경하게 한다
D. 낮은 무결성 주체의 높은 무결성 쓰기를 금지한다

정답: B

Chinese Wall 모델은 Brewer-Nash 모델이라고도 하며 이해상충 방지에 초점을 둡니다.

정답 이유: Chinese Wall 모델은 사용자가 이전에 접근한 정보에 따라 경쟁 관계의 다른 정보 접근을 제한해 이해상충을 막는다. 오답 이유: A는 Bell-LaPadula, C는 Clark-Wilson, D는 Biba의 설명이다. Chinese Wall은 보안등급보다 과거 접근 이력이 핵심이다.

문제 7

위협의 설명으로 가장 적절한 것은?

A. 보호해야 할 가치 있는 정보나 시스템
B. 위협이 악용할 수 있는 약점
C. 자산에 피해를 줄 수 있는 원인이나 사건
D. 보호대책 적용 후에도 남은 위험

정답: C

위협은 해커, 악성코드, 화재, 내부자 등 피해 원인입니다.

문제 8

취약점의 설명으로 적절한 것은?

A. 자산에 피해를 줄 수 있는 원인
B. 조직이 보호해야 할 가치 있는 대상
C. 손실 부담을 보험으로 이전하는 방식
D. 위협이 악용할 수 있는 약점

정답: D

취약점은 미패치, 약한 비밀번호, 설정 오류 같은 약점입니다.

문제 9

위험의 설명으로 적절한 것은?

A. 위협이 취약점을 악용하여 자산에 피해를 줄 가능성과 영향
B. 이미 제거되어 더 이상 고려하지 않는 사건
C. 자산 자체의 목록과 소유자 정보
D. 보안 통제를 적용하는 절차 문서

정답: A

위험은 가능성과 영향으로 평가합니다.

정답 이유: 위험은 위협이 취약점을 이용해 자산에 손실을 일으킬 가능성과 그 영향의 조합이다. 오답 이유: C는 자산관리, D는 보호대책 절차에 가깝다. 위협은 원인, 취약점은 약점, 위험은 손실 가능성과 영향으로 구분한다.

문제 10

정성적 위험분석의 특징으로 적절한 것은?

A. 자산 가치와 연간 발생률만 곱해 계산한다
B. 높음, 중간, 낮음 등의 등급으로 위험을 평가한다
C. 위험을 반드시 보험으로만 처리한다
D. 모든 위험을 수용 가능한 것으로 간주한다

정답: B

정성적 분석은 등급이나 점수 기반 평가입니다.

문제 11

정량적 위험분석에서 SLE 공식으로 올바른 것은?

A. SLE = ALE × ARO
B. SLE = AV + EF
C. SLE = AV × EF
D. SLE = SSO × MFA

정답: C

SLE는 단일 손실 예상액입니다.

정답 이유: SLE는 한 번의 사고로 예상되는 손실액이므로 자산가치 AV에 노출계수 EF를 곱한다. 오답 이유: ALE는 SLE에 연간발생률 ARO를 곱한 값이다. SLE와 ALE는 단일 사고 기준인지, 연간 기준인지로 구분한다.

문제 12

정량적 위험분석에서 ALE 공식으로 올바른 것은?

A. ALE = AV × EF
B. ALE = SLE ÷ ARO
C. ALE = FAR × FRR
D. ALE = SLE × ARO

정답: D

ALE는 연간 손실 예상액입니다.

정답 이유: ALE는 1년 동안 기대되는 손실액이므로 단일 손실 예상액 SLE에 연간발생률 ARO를 곱한다. 오답 이유: A는 SLE 공식이고, C는 생체 인증 오류율 조합이다. 정량적 위험분석 계산에서는 AV, EF, SLE, ARO, ALE의 순서를 함께 기억해야 한다.

문제 13

위험 감소의 예로 적절한 것은?

A. 보안패치, 암호화, 접근통제 적용
B. 취약 서비스를 중단해 해당 활동을 하지 않음
C. 보험이나 계약으로 손실 부담을 이전함
D. 책임자 승인 후 위험을 그대로 받아들임

정답: A

위험 감소는 보호대책을 적용해 위험을 낮추는 것입니다.

문제 14

위험 전가의 예로 적절한 것은?

A. 보안패치와 접근통제를 적용해 가능성을 낮춤
B. 사이버 보험 가입
C. 위험한 업무를 중단해 위험 원인을 제거함
D. 낮은 위험을 승인받고 받아들임

정답: B

위험 전가는 보험, 외주, 계약 등을 통해 손실 부담 일부를 이전하는 것입니다.

문제 15

잔여위험의 설명으로 적절한 것은?

A. 보호대책 적용 전 식별된 전체 위험
B. 보험 가입으로 외부에 이전한 손실 부담
C. 보호대책 적용 후에도 남아 있는 위험
D. 위험한 활동을 중단해 완전히 회피한 위험

정답: C

보호대책으로 모든 위험을 제거할 수 없으므로 잔여위험을 관리해야 합니다.

실기형 답안 훈련

실기 예제 1

문제: Bell-LaPadula 모델과 Biba 모델의 차이를 설명하시오.

좋은 답안

Bell-LaPadula 모델은 기밀성 보호를 목적으로 하며, 낮은 등급 주체가 높은 등급 객체를 읽지 못하게 하는 No Read Up과 높은 등급 주체가 낮은 등급 객체에 쓰지 못하게 하는 No Write Down 규칙을 사용한다. Biba 모델은 무결성 보호를 목적으로 하며, 높은 무결성 주체가 낮은 무결성 객체를 읽지 못하게 하는 No Read Down과 낮은 무결성 주체가 높은 무결성 객체에 쓰지 못하게 하는 No Write Up 규칙을 사용한다.

채점 포인트

요소	포함 여부
Bell-LaPadula = 기밀성	필수
Biba = 무결성	필수
No Read Up, No Write Down	중요
No Read Down, No Write Up	중요

실기 예제 2

문제: Clark-Wilson 모델의 특징을 설명하시오.

좋은 답안

Clark-Wilson 모델은 상업적 시스템의 무결성을 보장하기 위한 모델로, 사용자가 데이터를 직접 수정하지 않고 승인된 프로그램과 잘 형성된 트랜잭션을 통해서만 데이터를 변경하도록 한다. 또한 직무분리와 감사 기능을 통해 부정행위와 오류를 방지한다.

채점 포인트

요소	포함 여부
상업적 무결성	필수
승인된 프로그램	중요
잘 형성된 트랜잭션	필수
직무분리	중요
감사	중요

실기 예제 3

문제: 위협, 취약점, 위험의 차이를 설명하시오.

좋은 답안

위협은 자산에 피해를 줄 수 있는 원인이나 사건이고, 취약점은 위협이 악용할 수 있는 약점이다. 위험은 위협이 취약점을 이용하여 자산에 손실이나 피해를 발생시킬 가능성과 영향을 의미한다.

채점 포인트

요소	포함 여부
위협 = 피해 원인	필수
취약점 = 약점	필수
위험 = 피해 가능성과 영향	필수
자산과 연결	좋음

실기 예제 4

문제: 정성적 위험분석과 정량적 위험분석의 차이를 설명하시오.

좋은 답안

정성적 위험분석은 위험의 가능성과 영향을 높음, 중간, 낮음 등 등급으로 평가하는 방식으로 수행이 쉽지만 주관성이 개입될 수 있다. 정량적 위험분석은 자산 가치, 손실률, 발생빈도 등을 수치화하여 SLE와 ALE 같은 예상 손실액을 계산하는 방식으로 경제적 판단에 유용하지만 정확한 데이터 수집이 어렵다.

채점 포인트

요소	포함 여부
정성 = 등급 평가	필수
정량 = 수치·금액 평가	필수
SLE, ALE	중요
장단점	좋음

실기 예제 5

문제: 위험 처리 방법 4가지를 설명하시오.

좋은 답안

위험 처리 방법에는 위험 감소, 회피, 전가, 수용이 있다. 위험 감소는 보안대책을 적용해 위험 가능성이나 영향을 낮추는 것이고, 위험 회피는 위험한 활동을 중단하는 것이며, 위험 전가는 보험이나 외주 계약 등을 통해 손실 부담 일부를 이전하는 것이다. 위험 수용은 위험이 허용 수준 이내라고 판단하여 책임자의 승인 하에 받아들이는 방식이다.

채점 포인트

요소	포함 여부
감소	필수
회피	필수
전가	필수
수용	필수
각 예시	좋음

실기 예제 6

문제: 잔여위험의 의미와 관리 필요성을 설명하시오.

좋은 답안

잔여위험은 보호대책을 적용한 후에도 완전히 제거되지 않고 남아 있는 위험이다. 모든 위험을 제거하는 것은 현실적으로 어렵기 때문에 잔여위험을 평가하고, 조직의 위험 수용기준에 따라 책임자나 경영진의 승인을 받아 지속적으로 모니터링해야 한다.

채점 포인트

요소	포함 여부
대책 후 남는 위험	필수
모든 위험 제거 어려움	중요
수용기준	중요
승인과 모니터링	좋음

핵심 요약

개념	한 줄 요약
보안모델	보안 목표와 접근규칙을 이론적으로 정의한 모델
Bell-LaPadula	기밀성 모델
No Read Up	낮은 등급이 높은 등급 읽기 금지
No Write Down	높은 등급이 낮은 등급에 쓰기 금지
Biba	무결성 모델
No Read Down	높은 무결성이 낮은 무결성 읽기 금지
No Write Up	낮은 무결성이 높은 무결성에 쓰기 금지
Clark-Wilson	상업적 무결성, 직무분리, 감사
Chinese Wall	이해상충 방지 모델
자산	보호해야 할 가치 있는 대상
위협	피해를 줄 수 있는 원인
취약점	위협에 악용될 수 있는 약점
위험	피해 발생 가능성과 영향
보호대책	위험을 줄이는 조치
잔여위험	대책 후에도 남는 위험
정성적 분석	등급·점수 기반 위험분석
정량적 분석	금액·확률 기반 위험분석
SLE	단일 손실 예상액, AV × EF
ALE	연간 손실 예상액, SLE × ARO
위험 감소	대책을 적용해 위험을 줄임
위험 회피	위험한 활동을 중단
위험 전가	보험·외주 등으로 부담 이전
위험 수용	위험을 알고 받아들임
관리적 대책	정책, 절차, 교육
기술적 대책	암호화, 방화벽, 접근통제
물리적 대책	출입통제, CCTV, 잠금장치

필수 암기 문장

아래 문장들은 필기와 실기 모두 중요합니다.

Bell-LaPadula 모델은 기밀성 보호를 목적으로 하며 No Read Up과 No Write Down 규칙을 사용한다.

Biba 모델은 무결성 보호를 목적으로 하며 No Read Down과 No Write Up 규칙을 사용한다.

Clark-Wilson 모델은 상업적 시스템의 무결성을 보장하기 위해 잘 형성된 트랜잭션, 직무분리, 감사 기능을 강조한다.

Chinese Wall 모델은 사용자의 과거 접근 이력을 기준으로 이해상충이 발생할 수 있는 정보에 대한 접근을 제한한다.

자산은 보호해야 할 가치 있는 대상이고, 위협은 피해를 줄 수 있는 원인이며, 취약점은 위협에 악용될 수 있는 약점이다.

위험은 위협이 취약점을 악용하여 자산에 피해를 발생시킬 가능성과 영향을 의미한다.

위험관리는 자산, 위협, 취약점을 식별하고 위험을 분석·평가한 후 적절한 처리 방법을 선택하고 잔여위험을 관리하는 과정이다.

정성적 위험분석은 위험을 높음, 중간, 낮음 등 등급으로 평가하고, 정량적 위험분석은 자산 가치, 손실률, 발생빈도 등을 수치화하여 예상 손실액을 계산한다.

SLE는 AV와 EF를 곱한 단일 손실 예상액이고, ALE는 SLE와 ARO를 곱한 연간 손실 예상액이다.

위험 처리 방법에는 위험 감소, 위험 회피, 위험 전가, 위험 수용이 있다.

잔여위험은 보호대책 적용 후에도 남아 있는 위험이며, 조직의 위험 수용기준에 따라 승인과 모니터링이 필요하다.

보호대책은 관리적, 기술적, 물리적 대책으로 구분할 수 있으며, 기능에 따라 예방, 탐지, 교정 통제로 나눌 수 있다.

연습 과제

다음 문제를 풀고 정답 및 해설과 대조한다.

A. 단답형

1. 보안모델이란 무엇인가?
2. Bell-LaPadula 모델은 무엇을 보호하기 위한 모델인가?
3. Bell-LaPadula 모델의 핵심 규칙 2가지를 쓰시오.
4. No Read Up의 의미를 쓰시오.
5. No Write Down의 의미를 쓰시오.
6. Biba 모델은 무엇을 보호하기 위한 모델인가?
7. Biba 모델의 핵심 규칙 2가지를 쓰시오.
8. No Read Down의 의미를 쓰시오.
9. No Write Up의 의미를 쓰시오.
10. Bell-LaPadula와 Biba의 차이를 쓰시오.
11. Clark-Wilson 모델의 특징을 쓰시오.
12. Chinese Wall 모델이란 무엇인가?
13. 보안모델 4가지를 각각 한 줄로 정리하시오.
14. 위험관리란 무엇인가?
15. 자산이란 무엇인가?
16. 위협이란 무엇인가?
17. 취약점이란 무엇인가?
18. 위험이란 무엇인가?
19. 위협, 취약점, 위험의 차이를 쓰시오.
20. 위험관리 절차를 순서대로 쓰시오.
21. 정성적 위험분석이란 무엇인가?
22. 정량적 위험분석이란 무엇인가?
23. 정성적 분석과 정량적 분석의 차이를 쓰시오.
24. AV, EF, SLE, ARO, ALE의 의미를 각각 쓰시오.
25. SLE 계산식을 쓰시오.
26. ALE 계산식을 쓰시오.
27. 위험 처리 방법 4가지를 쓰시오.
28. 위험 감소란 무엇인가?
29. 위험 회피란 무엇인가?
30. 위험 전가란 무엇인가?
31. 위험 수용이란 무엇인가?
32. 잔여위험이란 무엇인가?
33. 관리적, 기술적, 물리적 보호대책 예시를 각각 2개씩 쓰시오.
34. 예방, 탐지, 교정 통제 예시를 각각 2개씩 쓰시오.

B. 계산 문제

아래 위험분석 값을 계산하세요.

35. 자산 가치 AV가 1억 원이고 손실률 EF가 30%일 때 SLE는?
36. SLE가 3천만 원이고 ARO가 2일 때 ALE는?
37. 자산 가치 AV가 5억 원이고 EF가 20%, ARO가 0.5일 때 SLE와 ALE는?
38. 자산 가치 AV가 2억 원이고 EF가 50%, ARO가 0.1일 때 SLE와 ALE는?

C. 상황 매칭 문제

아래 상황에 적합한 개념이나 처리 방법을 쓴다.

39. 낮은 등급 사용자가 높은 등급 문서를 읽지 못하게 한다.
40. 높은 등급 사용자가 낮은 등급 문서에 비밀 정보를 쓰지 못하게 한다.
41. 높은 무결성 시스템이 검증되지 않은 낮은 무결성 데이터를 읽지 못하게 한다.
42. 일반 사용자가 회계 원장에 직접 쓰지 못하게 한다.
43. 승인된 회계 프로그램을 통해서만 거래 데이터를 변경하게 한다.
44. 한 컨설턴트가 A기업 정보를 본 후 경쟁사 B기업 정보 접근을 제한한다.
45. 해커가 미패치 웹 서버를 공격해 고객 DB를 유출할 가능성이 있다.
46. 취약한 외부 공개 서비스를 아예 폐쇄한다.
47. 사이버 보험에 가입한다.
48. MFA와 패치를 적용해 계정 탈취 위험을 줄인다.
49. 위험이 낮고 대책 비용이 너무 커서 책임자 승인 후 받아들인다.
50. 보호대책을 적용했지만 여전히 제로데이 취약점 가능성이 남아 있다.

D. 실기형 답안 작성

다음 6문제는 2~3문장으로 답안을 작성한다.

51. Bell-LaPadula 모델과 Biba 모델의 차이를 설명하시오.

52. Clark-Wilson 모델의 특징을 설명하시오.

53. 위협, 취약점, 위험의 차이를 설명하시오.

54. 정성적 위험분석과 정량적 위험분석의 차이를 설명하시오.

55. 위험 처리 방법 4가지를 설명하시오.

56. 잔여위험의 의미와 관리 필요성을 설명하시오.

보완 학습 및 연습 과제 정답

SLE, ALE와 위험등록부

정량적 위험분석은 SLE = AV × EF, ALE = SLE × ARO로 계산한다. 예를 들어 자산가치가 1억 원이고 노출계수가 30%이면 SLE는 3천만 원이다. 해당 사고가 연 0.5회 발생한다고 보면 ALE는 1천5백만 원이다.

위험등록부에는 위험 ID, 자산, 위협, 취약점, 기존 통제, 영향도, 가능성, 위험등급, 처리전략, 담당자, 기한, 잔여위험, 승인자를 기록한다. 잔여위험은 보호대책 적용 후 남는 위험이므로 조직의 수용기준에 맞는 책임자가 승인해야 한다.

A. 단답형 예시 정답: 보안모델은 보안 정책을 논리적으로 표현한 모델이다. Bell-LaPadula는 기밀성, Biba는 무결성, Clark-Wilson은 무결한 거래와 직무분리, Chinese Wall은 이해상충 방지가 핵심이다. 위험은 위협이 취약점을 이용해 자산에 피해를 줄 가능성과 영향이다. 위험관리는 식별, 분석, 평가, 처리, 모니터링 순서로 수행한다. 정성적 분석은 등급 중심, 정량적 분석은 금액과 빈도 중심이다.

B. 계산 문제 정답: SLE는 자산가치와 노출계수를 곱하고, ALE는 SLE와 연간발생률을 곱한다. 계산 과정과 단위를 함께 적어야 한다.

C. 상황 매칭 정답: 보안등급 문서는 Bell-LaPadula, 데이터 무결성은 Biba, 승인·처리·감사 분리는 Clark-Wilson, 경쟁사 정보 접근 제한은 Chinese Wall, 보험 가입은 위험 전가, 서비스 중단은 위험 회피, 패치 적용은 위험 감소, 기준 내 잔여위험 승인은 위험 수용이다.

D. 실기형 채점 기준: 핵심 키워드는 No Read Up, No Write Down, No Read Down, No Write Up, 위협·취약점·위험, SLE, ALE, 위험등록부, 잔여위험 승인, 비용 대비 효과이다. 부분점은 모델 비교 30%, 계산식 25%, 위험 처리 25%, 등록부·승인 20%로 부여한다. SLE와 ALE 공식을 뒤바꾸거나 잔여위험 승인 주체를 누락하면 감점한다.

정보보안일반 파트 정리

이제 정보보안일반 5절을 마쳤습니다.

절	주제
5장 1절	암호학 기초
5장 2절	대칭키·공개키 암호
5장 3절	해시·전자서명·PKI
5장 4절	접근통제와 인증
5장 5절	보안모델과 위험관리 기초

정보보안일반의 핵심 축은 다음입니다.

암호학
해시
전자서명
PKI
접근통제
인증
보안모델
위험관리

필기에서는 비교 문제가 많습니다.

대칭키 vs 공개키
암호화 vs 해시
MAC vs 전자서명
DAC vs MAC vs RBAC vs ABAC
Bell-LaPadula vs Biba
정성적 분석 vs 정량적 분석
위험 감소 vs 회피 vs 전가 vs 수용

실기에서는 아래 구조로 답안을 구성한다.

개념 정의
→ 핵심 특징
→ 예시 또는 대응 방안

예를 들어

위험은 위협이 취약점을 악용하여 자산에 피해를 발생시킬 가능성과 영향을 의미한다. 위험관리는 자산, 위협, 취약점을 식별하고 위험을 분석·평가한 후 감소, 회피, 전가, 수용 등의 방법으로 처리하며, 보호대책 적용 후 남는 잔여위험을 관리하는 과정이다.

목차